Portafolio Luis Cañaveral IU Pascual Bravo

 

  Matriz de riesgos

  Origen de las amenazas Definición Se puede definir como  amenaza  a todo elemento o acción capaz de atentar contra la  seguridad de la información . Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una  amenaza  sólo puede existir si existe una  vulnerabilidad  que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información. Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas de  ingeniería social , la falta de capacitación y concientización a los usuarios en el uso de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado en los últimos años el aumento de amenazas intencionales.    Tipos de amenazas Las amenazas pueden clasificarse en dos tipos: Intencionales, en caso de que deliberadamente se intente producir un daño (por ejemplo el robo de información aplicando la técnica de  tra...

  Norma Nch-ISO 27001 ¿Qué es la NCH ISO 27001? SISTEMAS DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN La  NCH ISO 27001  es una norma chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización ( INN , la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones. La norma  NCH ISO27001  para los  Sistemas de Gestión de Seguridad de la Información o SGSI  hace posible que las organizaciones lleven a cabo una evaluación del riesgo y adopte los controles imprescindibles para lograr mitigarlos e incluso eliminarlos. Con la implementación de la  NCH-ISO27001 , las organizaciones consiguen mejorar la imagen dentro de un mercado cada vez más competitivo. Para llevar a cabo una adecuada  Gestión de la Seguridad de la Información  en las empresas, se necesita del uso de buenas prácticas o controles que están establecidos por la norma  NCH-ISO 27002. Norma NCH-ISO 27001 ...

  Vulnerabilidades del software Las vulnerabilidades son la piedra angular de la seguridad, puesto que suponen el origen del que derivan numerosos fallos de seguridad. Una vulnerabilidad en un programa informático o software es simplemente un error, un problema en su código o en su configuración. Es muy probable –por no decir que se produce siempre– que los programas contengan errores, puesto que han sido creados por seres humanos. Esto es especialmente frecuente en el caso de las aplicaciones muy complejas (como por ejemplo, un sistema operativo), que tienden a contener errores de manera exponencial. La peculiaridad que convierte un simple fallo en una vulnerabilidad es la posibilidad de que el "abuso inteligente" de este defecto pudiera llevar a un riesgo de seguridad que compromete todo el sistema sobre el que se ejecuta esa aplicación. En los siguientes epígrafes se analizarán los aspectos básicos de las vulnerabilidades: por qué ocurren y cómo gestionarlas.  Qué es una v...

  Árboles de ataque Para construir un árbol de ataque el objetivo del atacante se usa como raíz del árbol, y a partir de éste, de forma iterativa e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar dicho objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse.  Al estudiar y analizar el conjunto de todos los posibles ataques a los que está expuesto un objetivo, se acaba modelando un bosque de árboles de ataque. El conjunto de ataques a estudiar esta formado tanto por ataques de carácter físico como cibernético, y como se ha indicado anteriormente, se debe tener en cuenta la posibilidad de un ataque combinado.  Un árbol de ataque estudia y analiza cómo se puede atacar un objetivo y por tanto permite identificar qué salvaguardas se necesita desplegar para impedirlo. También permiten estudiar las actividades que tendría que desarrollar el atacante y por tanto lo que necesita saber y lo que necesita tener pa...

  Metodología OCTAVE RESUMEN   Este documento presenta la aplicación de la metodología OCTAVE-s para el análisis y gestión del riesgo en la seguridad de la información, adaptada al proceso Inscripciones y Admisiones, en la División de Admisión, Registro y Control Académico (DARCA) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC 27005:2011. Además se incluye la estructura del proceso, y el procedimiento escogido como caso de estudio para aplicar el tratamiento del riesgo. Finalmente, se muestran los resultados obtenidos y las conclusiones de la gestión del riesgo con la metodología adaptada. Palabras Clave. Activo, amenaza, impacto, ISO/IEC 27005, Metodología de las Elipses, Metodología Octave-s, riesgo, seguridad de la información. En la actualidad, las empresas manejan la información referente a sus procesos de negocio de forma física y digital. Dicha información, independiente de su medio de almacenamiento y transmisión, es un recurso vital para e...

 Análisis de Riesgos  ¿Cómo gestionamos el riesgo?  ¿Cómo lo analizamos?  ¿Cómo sabemos a lo que nos enfrentamos? ISO/IEC 27001:2013  Information technology — Security techniques — Information security management systems — Requirements  – ISO/IEC 27005:2011  – ISO/IEC 31000 ISO/IEC 27001:2013   – 4.1 Comprender la organización y su contexto        • Contexto internal y externo de la organización de acuerdo al punto 5.3 de la ISO-31000 – 6.1 Análisis y gestión de riesgos        • Alineado con los principios y directrices de la ISO 31000 ISO/IEC 27005:2011   Information technology -- Security techniques -- Information security risk management  Fases del análisis de riesgos   – Establecimiento del contexto  – Evaluación del riesgo  – Tratamiento del riesgo  – Aceptación del riesgo  – Comunicación del riesgo  – Monitorización y revisión del riesgo UNE-ISO 31000  Gesti...

  Amenazas y Riesgos en el manejo de la Información Amenazas y Riesgos   en el manejo de la Información La tendencia del mundo actual a emplear nuevos mecanismos para hacer negocios, a contar con información actualizada permanentemente que permita la toma de decisiones, ha facilitado el desarrollo de nuevas tecnologías y sistemas de información, que a su vez son vulnerables a las amenazas informáticas crecientes y por ende a nuevos riesgos. En Fiduagraria pensando en la seguridad de nuestros clientes, usuarios y funcionarios, exponemos las principales amenazas informáticas y los posibles riesgos que podrían materializarse, para evitar que su información caiga en manos inescrupulosas o sea víctima de fraude electrónico.  SPAM Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más utilizada es la basada en el correo electrónico (SPAM) pero puede presentarse por programas de mensajería instantánea (SPIM) , por teléfono celula...

 INTRODUCCIÓN  Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se puede utilizar una variedad de metodologías existentes bajo la estructura descrita en esta norma para implementar los requisitos de un sistema de gestión de seguridad de la información. Esta norma es pertinente para los directores y el personal involucrado en la gestión del riesgo en la seguridad de la información dentro de una organización y, cuando corresponda, para las partes externas que da...

 Definición de Seguridad Informática La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. Seguridad Informática en los Datos 1. Integridad: La información solo puede ser modificada por quien esta autorizado y de manera controlada. 2. Confidencialidad: La información sólo debe ser legible para los usuarios autorizados.  3....

  El modelo “4+1” de Kruchten, es un modelo de vistas [1] diseñado por el profesor  Philippe Kruchten  y que encaja con el estándar “IEEE 1471-2000” (Recommended Practice for Architecture Description of Software-Intensive Systems [5]) que se utiliza para describir la arquitectura de un sistema software intensivo basado en el uso de múltiples puntos de vista. Vale, si por ahora no te has enterado de nada y no estas en 3 o 4 de carrera de Ingeniería del Software (o derivados) no te preocupes es normal, y si estas en 3 o 4 de carrera y aun así no te has enterado de nada, ¡Ponte las pilas YA! Porque estas cosas te deberían (por lo menos) sonar. Bueno, vamos por pasos. Antes de entrar a explicar mas en detalle el modelo de kruchten vamos a explicar e intentar dejar claro algunos conceptos como por ejemplo qué es un sistema software, qué es una vista y qué es un punto de vista.  Lo primero es saber que es eso de “ un sistema software ”, el cual lo definimos con la siguient...